網絡安全之三網絡攻擊與防范 ppt

現在網絡已經不僅僅是一個時髦的名詞。事實上它已經成為人們生活不可缺少的一部分。前言學習完此課程，您將會：了解常見網絡攻擊方式理解網絡攻擊的原理了解應對網絡攻擊的措施學習目標第1章網絡攻擊概述第2章網絡攻擊原理和防范目錄第1章網絡攻擊概述第1節(jié)網絡安全威脅第2節(jié)常見攻擊類型內容介紹網絡攻擊發(fā)展趨勢Sophistication

ofhackertoolsPacketforging/spoofing19901980PasswordguessingSelfreplicating

codePasswordcrackingBackdoorsHijackingsessionsSweepersSniffersStealthdiagnosticsTechnicalknowledgerequiredHighLow2000ExploitingknownvulnerabilitiesDisablingaudits網絡安全威脅常見的網絡威脅分類:無意的蓄意的外部的內部的常見的攻擊類型數據報嗅探IP脆弱性口令攻擊拒絕服務攻擊“中間人”攻擊應用層的攻擊信任機制的利用端口重定向病毒木馬Layer2攻擊第1章網絡攻擊概述第2章網絡攻擊原理和防范目錄第1章網絡攻擊原理和防范內容介紹數據報嗅探（Sniffer）數據報嗅探是一種協(xié)議分析軟件，它利用網卡的混雜模式來監(jiān)聽網絡中的數據報。Sniffer可以用于嗅探網絡中的明文口令信息：TelnetFTPSNMPPOP數據報嗅探工具必須與監(jiān)聽對象在同一個沖突域里面。HostAHostBRouterARouterB數據報嗅探工具的分類目前，有二種主要的嗅探工具類型通用的嗅探器，例如SnifferPro，Iris等特定嗅探攻擊工具，例如PasswordSniffer。示例示例數據報嗅探的防范

主要的防范手段認證—使用強認證方式，例如使用一次性口令。反嗅探工具—利用反嗅探工具來發(fā)現網絡中的嗅探行為。加密—這是最為有效的防范手段。HostAHostBRouterARouterBIP偽裝IP偽裝－－偽裝IP包頭IP偽裝通常發(fā)生在需要與可信主機通信的時候。常見的IP偽裝技術:利用可信主機IP進行偽裝利用已授權IP進行偽裝IP偽裝的危害:IP通常用于在一個已經連接的數據通道中，注入有害數據或命令。黑客還可以改變路由表指向偽裝地址，然后黑客就可以收到所有的數據報，在轉發(fā)出去。SYNFLOOD該攻擊以多個隨即的源地址向目的主機發(fā)送SYN初始化請求，而在收到主機的SYNACK后并不產生回應，這樣，目的主機就為這些源主機建立了大量的連接隊列，而且由于并沒有收到ACK一直維護這些隊列，造成大量資源消耗而不能提供正常的服務。SMURF該攻擊向一個子網的廣播地址發(fā)送一個帶有特定請求（如ICMP回應請求）的包，并且講源地址偽裝成想要攻擊的主機地址。子網上的所有主機都回應廣播包請求而象被攻擊主機發(fā)送包。Band-based攻擊者將一個數據包的源地址和目的地址都設置為目標主機的地址，然后將該IP包通過IP欺騙的方式發(fā)送給被攻擊主機，這種包可以造成被攻擊主機因試圖于自己建立鏈接而陷入死循環(huán)，從而降低了被攻擊主機的性能。Pingofdeath更具TCP/IP的規(guī)定，一個IP包的最大長度為65536B,這種大包在通過網絡的時候會被分割成很多小包，到達目的后在組合起來，而我們設法生成大于65536的IP包，會造成目的主機崩潰數據包片斷重疊（TEARDROP,BONK,NESTEA)這種攻擊技術的要點是迫使目標系統(tǒng)的操作系統(tǒng)去處理彼此重疊的TCP/IP數據包，而這將導致很多操作系統(tǒng)發(fā)生崩潰或者出現資源耗盡。第一個包的便宜量為0，長度為N,第二個包的偏移量小于N.PINGFLOOD該攻擊在短時間內向目的主機發(fā)送大量的PING包，造成網絡阻塞或者系統(tǒng)資源耗盡。IPDatagramVersion

(4)DestinationIPAddress(32)Options(0or32ifAny)UpperlayerData1Bit0Bit15Bit16Bit31Header

Length(4)Priority&Type

ofService(8)TotalLength(16)Identification(16)Flags

(3)FragmentOffset(13)Time-to-Live(8)Protocol(8)HeaderChecksum(16)SourceIPAddress(32)20

BytesIPSpoofing防范對于IP偽裝目前還沒有有效根治的防范方法，只能是盡可能的降低這種風險:訪問控制—這是最為常用的防范手段.根據RFC2827進行過濾—在入端口過濾使用內部IP地址的數據報。附加的認證方式，而不依賴IP層的認證:加密認證(推薦)拒絕服務攻擊DoS拒絕服務攻擊是導致服務癱瘓的一種攻擊手段:不同于旨在獲得系統(tǒng)權限，竊取敏感信息的攻擊手段易于發(fā)起最難以消除僵尸機客戶端系統(tǒng)4.黑客控制大量的代理發(fā)起DDOS攻擊.1.掃描.3.在代理上面安裝控制端軟件.DDoSExample2.安裝掃描器和攻擊代理器.DDOS攻擊防范可以通過下列方法來降低DDOS攻擊的影響:防范IP偽裝—在防火墻和路由器是配置防范IP偽裝的策略防范DOS功能—在防火墻和路由器是配置防范DOS的策略流量限制

口令攻擊常見口令攻擊的手段:暴力破解木馬竊取IP偽裝嗅探口令攻擊的示例L0phtCrack口令破解的常用手段:字典攻擊暴力破解口令攻擊的防范不要在多個系統(tǒng)中使用相同的口令.制定口令的鎖定策略.不要使用明文口令，在有條件的地方，使用一次性口令系統(tǒng).制定口令復雜度策略中間人攻擊中間人攻擊的條件：攻擊者能夠“看到”網絡數據報。中間人攻擊實施網絡數據報的嗅探（監(jiān)聽）路由和傳輸協(xié)議中間人攻擊的危害:竊取信息會話劫持流量分析DoS篡改數據注入信息HostAHostBRouterARouterB明文數據中間人攻擊防范有效遏制和消除中間人攻擊的方法是加密。HostAHostBRouterAISPRouterB中間人攻擊只能看到明文信息IPSectunnel

應用層攻擊應用層攻擊的特點:利用眾所周知的漏洞,例如協(xié)議漏洞(forexample,sendmail,HTTP,andFTP)通常是訪問控制策略允許的服務(例如，可以攻擊防火墻后面的web服務器)可能永遠都不能根除，因為每天都有新的漏洞，安全是動態(tài)的應用層攻擊的防范常用降低應用層威脅的方法定期查看和分析系統(tǒng)日志.訂閱系統(tǒng)漏洞信息.安裝最新的系統(tǒng)補丁.必要時，在有條件的地方部署IDS

網絡掃描和探測利用公開的信息或者掃描手段，獲取網絡拓撲等信息。

網絡掃描和探測示例域信息查詢地址查詢網絡掃描和探測示例Traceroute探測網絡拓撲PartnersiteRemotesiteInternetInternet-basedintranetInternet-basedextranet網絡掃描和探測防范目前，不太可能完全消除.部署訪問控制策略必要時，部署IDSTrustExploitation黑客可以利用信任域做為攻擊的跳板常見信任域Windows域活動目錄Linux和UNIXNFSNIS+SystemAUser=psmith;PatSmithSystemB–CompromisedbyhackerUser=psmith;PatSmithSystemAtrustsSystemBSystemBtrustsEveryoneSystemAtrustsEveryoneHackergainsaccesstoSystemAHackerUser=psmith;PatSmithson信任域攻擊的防范防火墻內的主機絕對不能信任防火墻外部的主機.在做信任認證時，不要過分依賴IP地址SystemAUser=psmith;PatSmithSystemBcompromised

byahackerUser=psmith;PatSmithHackerblockedHackerUser=psmith;PatSmithsonLayer2攻擊CAM表泛洪（CAMtableFlood）ARP/MACpoisoningARP偽裝MACDPort3

CAMTableOverflowMACAMACBAC?AC?AC?Port2

MAC偽裝SourceMAC:ACAB321Oh,Aisconnectedto3

ARP偽裝A

B21

CARPREPLY:IamCInternet

RIP攻擊攻擊者可以在網絡上利用軟件虛擬出一個RIP路由器，然后發(fā)送假冒錯誤的路由表，影響正常的路由表

其他Layer2攻擊操控SPT協(xié)議（SpanningTreeProtocolManipulation）—利用錯誤或虛假的BPDU報文DHCP